中國一冶集團(tuán)有限公司 劉 瑋

1.企業(yè)信息安全評估的內(nèi)容

企業(yè)在運(yùn)行中會產(chǎn)生大量的運(yùn)營數(shù)據(jù)，這些數(shù)據(jù)既有日常辦公方面的數(shù)據(jù)，也有涉及企業(yè)生產(chǎn)和研發(fā)方面的數(shù)據(jù)。隨著企業(yè)規(guī)模的擴(kuò)大，對這些信息的管理大都是建立在一定的信息管理系統(tǒng)基礎(chǔ)上的，如ERP資源管理系統(tǒng)、MES系統(tǒng)等。這些管理系統(tǒng)管理的內(nèi)容包含了企業(yè)運(yùn)行中的各類信息，就涉及到如何保障系統(tǒng)運(yùn)行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風(fēng)險(xiǎn)，因此需要對企業(yè)的信息管理風(fēng)險(xiǎn)程度進(jìn)行評估，在此基礎(chǔ)上尋找彌補(bǔ)信息安全隱患的策略。對企業(yè)信息安全的評估主要有以下幾個(gè)方面的內(nèi)容。

1.1 評估企業(yè)的管理制度

企業(yè)管理制度是企業(yè)有序運(yùn)行的基礎(chǔ)，企業(yè)的信息安全也和此密切相關(guān)。很多企業(yè)信息外泄的案例都和企業(yè)管理制度漏洞直接聯(lián)系。因此在評估企業(yè)信息安全時(shí)企業(yè)的管理制度是必要的環(huán)節(jié)之一。在這個(gè)層面上評估企業(yè)信息安全主要是評估以下幾類基本的管理制度。①企業(yè)信息系統(tǒng)的使用制度；②企業(yè)信息系統(tǒng)的維護(hù)制度；③企業(yè)信息系統(tǒng)操作人員培訓(xùn)制度；④系統(tǒng)設(shè)備和文件管理制度。

1.2 企業(yè)信息系統(tǒng)計(jì)算機(jī)安全評估

實(shí)踐表明大量的企業(yè)信息外泄都和計(jì)算機(jī)系統(tǒng)的安全漏洞有關(guān)系，因此對企業(yè)信息系統(tǒng)的安全評估是必不可少的環(huán)節(jié)。這類問題的評估需要專業(yè)計(jì)算機(jī)人員來進(jìn)行，彌補(bǔ)系統(tǒng)安全漏洞是保障企業(yè)信息安全的重要手段。定期或不定期的對企業(yè)信息系統(tǒng)的運(yùn)行日志和統(tǒng)計(jì)資料進(jìn)行檢查是一種行之有效的方法。

2.企業(yè)信息安全風(fēng)險(xiǎn)定量評估方法

對上述幾類評估內(nèi)容的定量估計(jì)是衡量企業(yè)信息安全的量化手段，其衡量得出的數(shù)值就是企業(yè)信息安全的風(fēng)險(xiǎn)值或安全程度指標(biāo)。企業(yè)信息安全的定量風(fēng)險(xiǎn)評估考慮因素主要有三個(gè)：資產(chǎn)價(jià)值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數(shù)據(jù)采集的方式來進(jìn)行合成計(jì)算，安全風(fēng)險(xiǎn)的數(shù)學(xué)表達(dá)式為：R=f(A,V,T)。其中R為風(fēng)險(xiǎn)指標(biāo)，A表示企業(yè)資產(chǎn)指標(biāo)，為T代表威脅，V為脆弱性指標(biāo)。上述三類因素的基礎(chǔ)數(shù)據(jù)都需要從實(shí)踐中通過調(diào)研和測試來獲得。

2.1 企業(yè)信息安全估價(jià)的描述方法

企業(yè)的資產(chǎn)既包括有形的資產(chǎn)，也包括無形的資源，表現(xiàn)形式也從機(jī)械設(shè)備到軟件文檔等多種多樣。企業(yè)信息安全又有其特殊性。企業(yè)信息安全的安全屬性估價(jià)需要從資產(chǎn)的保密性、完整性和可用性三個(gè)方面來展開評估。由于企業(yè)各類資產(chǎn)的形式各異，資產(chǎn)的安全級別無法用通用的量化標(biāo)準(zhǔn)來記性評估，因此采用的方法為定性的CIA模糊集合方式來描述，如“資產(chǎn)安全級別”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊語言來描述，對應(yīng)的論域?yàn)椋?、4、3、2、1｝。企業(yè)信息安全安全的保密性、完整性和可用性三個(gè)方面的屬性都可以用上述模糊語言來定性描述，綜合上述三類安全屬性的公式為：S= l n[(eC+eI+eA)/3]。上式中C,I,A分別為企業(yè)信息安全的保密性、完整性和可用性的賦值，取值為1,2…5，S為綜合評定指標(biāo)。筆者這里提供一些評價(jià)指標(biāo)的選取標(biāo)準(zhǔn)：

（1）信息保密性的評定標(biāo)準(zhǔn)

①很高：這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息，信息泄漏將嚴(yán)重影響企業(yè)的利益；②高：這類級別的企業(yè)信息泄露會對到企業(yè)經(jīng)濟(jì)效益造成明顯損害；③中等：企業(yè)的一般性的經(jīng)營、決策信息，泄露對企業(yè)不利；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息；⑤較低：企業(yè)可對外界公布的信息類型。

（2）信息完整性的評定標(biāo)準(zhǔn)

①很高：這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息，其完整性直接決定企業(yè)的業(yè)務(wù)完整性，一旦缺失就無法彌補(bǔ)；②高：這類信息修改必須經(jīng)過高層授權(quán)，一旦缺失將嚴(yán)重影響業(yè)務(wù)，一旦缺失彌補(bǔ)難度很大；③中等：企業(yè)的一般性的經(jīng)營、決策信息，其修改需授權(quán)，缺失后可彌補(bǔ)；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息，缺失后對企業(yè)運(yùn)行影響較小，易于彌補(bǔ)；⑤較低：企業(yè)可對外界公布的信息類型，缺失后對企業(yè)運(yùn)行無明顯影響。

（3）信息可用性的評定標(biāo)準(zhǔn)

①很高：這類信息具有最重要的實(shí)用性，企業(yè)的運(yùn)作必須依照運(yùn)行的信息類型；②高：這類信息的可用性價(jià)值較高，企業(yè)運(yùn)作對其依賴性較高；③中等：這類信息屬于可部分不可用的類型，部分不可用不影響企業(yè)的正常運(yùn)作；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息，信息不可用不會造成明顯影響；⑤較低：這類信息使用性不高，信息不可用的影響可以忽略。

2.2 企業(yè)信息安全威脅程度的量化方法

企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的，既可能來自于系統(tǒng)的用戶（合法用戶或非法入侵）操作，也可能來自于系統(tǒng)的物理組件的損壞。這兩類威脅中最大也最常見的是系統(tǒng)用戶在操作方面的失誤、非法用戶利用系統(tǒng)漏洞來竊取企業(yè)機(jī)密信息，以及計(jì)算機(jī)病毒對信息系統(tǒng)的侵襲等。但這些事件都不易量化，在做風(fēng)險(xiǎn)評估時(shí)需要依賴專家經(jīng)驗(yàn)，對各種潛在的威脅因素給出一定的概率值，對各類威脅因素可按照和上節(jié)類似的方法，用形如：“威脅程度”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊集合來表達(dá)，對應(yīng)于相應(yīng)的論域｛5、4、3、2、1｝。建議評定標(biāo)準(zhǔn)如下：①很高：風(fēng)險(xiǎn)事件發(fā)生的頻率很高，或?qū)ζ髽I(yè)信息安全具有明顯的威脅，但又很難避免的情形；②高：風(fēng)險(xiǎn)事件發(fā)生的可能性較大或有發(fā)生先例；③中等：風(fēng)險(xiǎn)事件有可能發(fā)生，但尚未實(shí)際發(fā)生過的情形；④較低：風(fēng)險(xiǎn)事件發(fā)生的可能性較小，通常情況下不會發(fā)生；⑤很低：幾乎不可能發(fā)生的風(fēng)險(xiǎn)事件類型；

2.3 信息系統(tǒng)脆弱性的量化方法

信息系統(tǒng)脆弱性的評估和系統(tǒng)面臨的威脅是緊密相關(guān)的，所有的實(shí)際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來發(fā)揮破壞性作用的，因此信息系統(tǒng)的脆弱性和威脅存點(diǎn)對點(diǎn)或單點(diǎn)對多點(diǎn)的關(guān)系。為便于計(jì)算，也采用和衡量系統(tǒng)威脅程度時(shí)相同的表示方法，“系統(tǒng)脆弱性”=｛“很高”、“高”、“中等”、“低”、“較低”｝，對應(yīng)于相應(yīng)的論域｛5、4、3、2、1｝。建議評定標(biāo)準(zhǔn)為：①很高：這類評定往往要基于企業(yè)信息系統(tǒng)存在明顯而易于攻擊的技術(shù)漏洞或者是管理規(guī)范上的缺陷，極易被非法使用的情形；②高：企業(yè)信息系統(tǒng)存在一定的技術(shù)漏洞或管理規(guī)范上的缺陷，容易被攻擊和利用；③中等：企業(yè)信息系統(tǒng)存在不易被發(fā)現(xiàn)（的技術(shù)漏洞，或必須經(jīng)過人為非法操作才能被攻擊的管理規(guī)范上的漏洞；④低：企業(yè)信息系統(tǒng)不存在明顯的技術(shù)漏洞，或企業(yè)信息管理制度較為完善，不易被攻擊利用；⑤較低：企業(yè)信息系統(tǒng)技術(shù)較為完善，管理制度也較為合理，被攻擊點(diǎn)可能性很小。

2.4 信息安全的風(fēng)險(xiǎn)計(jì)算

按照風(fēng)險(xiǎn)的定義，風(fēng)險(xiǎn)包括風(fēng)險(xiǎn)事件發(fā)生的可能性和相應(yīng)的后果。在企業(yè)信息系統(tǒng)中，各組成部分發(fā)生風(fēng)險(xiǎn)事件后的后果是不一樣的，其嚴(yán)重程度也存在差異。因此在風(fēng)險(xiǎn)計(jì)算時(shí)需要明確兩個(gè)方面的內(nèi)容，一是風(fēng)險(xiǎn)的計(jì)算方式，二是對風(fēng)險(xiǎn)計(jì)算量化數(shù)值的評價(jià)。各因素風(fēng)險(xiǎn)值的計(jì)算按：R=A×V×T來計(jì)算，即按資產(chǎn)價(jià)值、資產(chǎn)脆弱性和資產(chǎn)面臨的威脅性的乘積來衡量某種信息資產(chǎn)的風(fēng)險(xiǎn)值。上述幾類因素的取值按照評價(jià)論域中的取值來作為乘積因子。在計(jì)算出風(fēng)險(xiǎn)值之后，還需要建立起以風(fēng)險(xiǎn)值為基礎(chǔ)的風(fēng)險(xiǎn)評價(jià)體系。

由前文的分析可見，風(fēng)險(xiǎn)的定量估計(jì)是一個(gè)由三類風(fēng)險(xiǎn)因素的線性乘積得出的。每一類信息的最高等級論域數(shù)值為5，最低為1，因此組合情況下風(fēng)險(xiǎn)值的最高值為125，最低值為1。由此可建立其與之對應(yīng)的風(fēng)險(xiǎn)定量評價(jià)體系。筆者建議采用與之對應(yīng)的5級評定方式：①很高：風(fēng)險(xiǎn)值估計(jì)范圍在100～125之間，表明企業(yè)信息系統(tǒng)存在很高的安全風(fēng)險(xiǎn)，發(fā)生信息泄露的可能性非常高；②高：風(fēng)險(xiǎn)估計(jì)值在75～100之間，表明企業(yè)信息系統(tǒng)存在較大的安全風(fēng)險(xiǎn)，發(fā)生信息泄露的可能性較大；③中等：風(fēng)險(xiǎn)估計(jì)值在50～75之間，企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)一般，經(jīng)過審查后能夠避免風(fēng)險(xiǎn)事件；④低：風(fēng)險(xiǎn)估計(jì)值在25～50之間，企業(yè)信息系統(tǒng)發(fā)生信息泄露的可能性很??；⑤很低：風(fēng)險(xiǎn)估計(jì)值在0～25之間，企業(yè)信息系統(tǒng)比較安全，但需要定期維護(hù)。

3.結(jié)語

企業(yè)信息系統(tǒng)安全管理關(guān)系到企業(yè)的內(nèi)部運(yùn)營數(shù)據(jù)的安全，是需要引起高度重視的問題。本文將企業(yè)信息安全評估中幾類常用的信息類型進(jìn)行了風(fēng)險(xiǎn)量化評估，給出了以線性乘積為基礎(chǔ)的風(fēng)險(xiǎn)量化方法，最后給出了分等級的企業(yè)信息安全綜合評定。

[1]沈昌樣.關(guān)于強(qiáng)化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.

[2]沈昌祥,馬東平,等.信息安全工程學(xué)導(dǎo)論[M].電子工業(yè)出版社,2009,9.

[3]熊松錳,張志平.構(gòu)建網(wǎng)絡(luò)信息的安全防護(hù)體系[J].情報(bào)學(xué)報(bào),2011,22.

[4]范紅.信息安全風(fēng)險(xiǎn)評估方法與應(yīng)用[M].清華大學(xué)出版社,2008.